|
◆ Lock and Key(ダイナミックACL)とは
ダイナミックACLは、そのACLを適用しているルータのインターフェースに対して、クライアントから
telnet を行って認証が成功することで、一定時間はそのルータを通過することができるダイナミックな
ACLエントリが、既存の拡張ACLに動的に追加されるACLのことです。
上図で、ホストはセグメントAからセグメントBへ通信することはできない状態にあります ⇒(Lock)。
しかし、ルータのI/Fに適用されているACLはダイナミックACLであるため特定のホストがルータのI/Fに
対して telnet できるようにACLが定義されています ⇒ (Key)。ホストがルータのG0/1に telnet して
ユーザ認証に成功すると、一定時間、通信できるACLエントリが動的に追加されます ⇒(Dynamic ACL)
◆ Lock and Key(ダイナミックACL)- 2種類のタイムアウト値
ダイナミックACLで認証が成功した時に通信アクセスを許可する時間は、以下の2つの方法で設定できます。
| タイムアウト |
説明 |
| 絶対タイムアウト |
認証成功後に通信が許可される最大時間。通信中に関係なくこの時間後に強制的にタイムアウト。 |
| アイドルタイムアウト |
通信が発生しない時間が経過するとタイムアウト。ユーザ共通、またはユーザごとの設定が可能。 |
◆ Lock and Key(ダイナミックACL)- コンフィグ設定
ルータには以下の2種類のACLを定義します。デフォルトで timeout 値は「10分間」となっています。
このダイナミックACLで定義する timeout 値は「絶対タイムアウト」の時間のことです。
1. ルータのインターフェースに telnet を許可するACL
2. ルータのインターフェースへの telnet 認証成功後に発動するダイナミックACL
(config)# access-list number permit tcp any host ip-address eq telnet
(config)# access-list number dynamic name timeout time permit protocol source destination
任意コマンド:telnetセッションをもう一度確立させてtelnetの再認証を行うことで、絶対タイムアウトを6分ずつ増やせます。
(config)# access-list dynamic-extend
ルータへのtelnet認証時に使用するユーザ名とパスワードを設定します。複数のユーザを設定できます。
(config)# username name password password
usernameコマンドで作成したユーザに対して、autocommand で access-enable コマンドを実行します。
そして、access-enable コマンドにより telnet 認証成功後に一時的に、ダイナミックACLを追加できます。
host コマンドで telnet 認証成功ユーザだけが permit 対象となります。最後にアイドルタイムアウトを指定。
(config)# username name autocommand access-enable host timeout time
Telnet認証方式を指定します。認証方式は「ローカル」「RADIUS」「TACACS+」の3種類があります。
今回はローカル認証方式を紹介します。以下のとおり、line vty を指定して「login local」を指定します。
(config)# line vty 0 15
(config-vty)# login local
定義したACLをインターフェースに適用します。
(config)# interface interface-id
(config-if)# ip access-group number in
◆ ダイナミックACLのコンフィグ設定例
Cisco(config)# access-list 101 permit tcp any host 192.168.0.254 eq 23
Cisco(config)# access-list 101 dynamic MARKET timeout 30 permit ip 192.168.0.0 0.0.0.255
10.1.1.0 0.0.0.255
Cisco(config)# usename ccie01 password cisco123
Cisco(config)# usename ccie02 password cisco456
Cisco(config)# usename ccie01 autocommand access-enable host timeout 10
Cisco(config)# usename ccie02 autocommand access-enable host timeout 20
Cisco(config)# line vty 0 15
Cisco(config-line)# login local
Cisco(config)# interface GigabitEthernet0/0
Cisco(config-if)# ip address 192.168.0.254 255.255.255.0
Cisco(config-if)# ip access-group 101 in
|
※ autocommandの後にコマンドを入力する場合、タブキーは使用できないので全ての文字列を正確に入力する必要があります。
|